Deze week zijn er nieuwe versies van OpenSSL gepubliceerd. De patches repareren drie beveiligingslekken. Kwaadwillenden zouden via de kwetsbaarheden een Denial-of-service (DoS) kunnen veroorzaken. Ook zouden ze onder sommige omstandigheden berichten kunnen falsificeren.
De software van OpenSSL wordt veel ingezet om internetverbindingen te encrypten, zoals tussen websites en de bezoekers ervan. OpenSSL is een opensource-implementatie van het SSL/TLS protocol. De kernbibliotheek ervan is geschreven in de programmeertaal C. Deze library implementeert de cryptografische basisfuncties en maakt een aantal hulpfuncties mogelijk.
Moderate impact
Twee van de drie gepatchte beveiligingslekken zijn als ‘moderate impact’ gemarkeerd. Door deze kwetsbaarheid kan een DoS-aanval uitgevoerd worden. Tevens heeft dit betrekking op de kwetsbaarheid die berichten mogelijkerwijs als geauthenticeerd kan aanmerken, terwijl ze in werkelijkheid zijn gemanipuleerd door een kwaadwillende.
Low impact
Het andere lek valt in de categorie ‘low impact’. Dit lek is al in een eerder stadium, in OpenSSL 1.0.2, geüpdatet. Gebruikers wordt aangeraden om zo snel mogelijk te updaten naar OpenSSL 1.1.0h of 1.0.2o.